Идеи пользователя
Ситуация следующая.
Когда в админке заводится новое облачное хранилище (с использованием амазона) , битрикс уже пытается создать bucket на сервере амазона и ругается, если имя, под которым он пытается создать уже там есть.
Чем это плохо.
Нельзя использовать для бэкапов ключи от пользователей с ограниченными правами, точнее можно, но "через крышу": создать хранилище с одними ключами (от пользователя с правами на все), а потом поменять их на другие, от пользователя с правами только на нужную директорию (все (или я думаю у 90% людей) бэкапы делаются сейчас вообще под "рутовой" учеткой, которая имеет доступ в том числе и к билинговой информации на амазоне).
И как следствие нельзя выделить раздел на сервере исключительно для конкретного пользователя (которого нужно заводить на сервере амазона, но про это нигде кроме как на амазоне даже и не упомянули в инструкциях и многочисленных постах), и как следствие выше описанного, человек получивший через адмику вашего сайта ключи от сервера амазона, подключившись к нему через клиента, используя эти ключи, получает доступ ко всем бэкапам, которые хранятся на сервере.
И если там бэкапится только один сайт, то это полбеды, но как правило люди с одними и теме же ключами быкапят все свои сайты в одно место, в итоге доступ ко всем бэкапам всех сайтов, и да, по умолчанию бэкапы шифруются только для облака битрикса, под остальные хранилища нужно руками проставлять галочку "шифровать". Думаю не трудно представить какой процент эту галочку ставит и сколько не ставят.
В итоге, что бы я добавил:
1. Включение шифрования по умолчанию для всех типов хранилищ.
2. Сделать возможным, что бы битрикс не пытался создать bucket на сервере амазона сам.
3. Сделать возможным в ручную прописывать путь, куда складывать на сервере бэкапы (что бы не обязательно было заводить новый bucket под каждый сайт), что даст возможность более гибко настраивать структуру хранения данных на самом сервере, политику безопасного доступа и избавит от подмены ключей на этапе заведения хранилищ в адмике битрикса.
Когда в админке заводится новое облачное хранилище (с использованием амазона) , битрикс уже пытается создать bucket на сервере амазона и ругается, если имя, под которым он пытается создать уже там есть.
Чем это плохо.
Нельзя использовать для бэкапов ключи от пользователей с ограниченными правами, точнее можно, но "через крышу": создать хранилище с одними ключами (от пользователя с правами на все), а потом поменять их на другие, от пользователя с правами только на нужную директорию (все (или я думаю у 90% людей) бэкапы делаются сейчас вообще под "рутовой" учеткой, которая имеет доступ в том числе и к билинговой информации на амазоне).
И как следствие нельзя выделить раздел на сервере исключительно для конкретного пользователя (которого нужно заводить на сервере амазона, но про это нигде кроме как на амазоне даже и не упомянули в инструкциях и многочисленных постах), и как следствие выше описанного, человек получивший через адмику вашего сайта ключи от сервера амазона, подключившись к нему через клиента, используя эти ключи, получает доступ ко всем бэкапам, которые хранятся на сервере.
И если там бэкапится только один сайт, то это полбеды, но как правило люди с одними и теме же ключами быкапят все свои сайты в одно место, в итоге доступ ко всем бэкапам всех сайтов, и да, по умолчанию бэкапы шифруются только для облака битрикса, под остальные хранилища нужно руками проставлять галочку "шифровать". Думаю не трудно представить какой процент эту галочку ставит и сколько не ставят.
В итоге, что бы я добавил:
1. Включение шифрования по умолчанию для всех типов хранилищ.
2. Сделать возможным, что бы битрикс не пытался создать bucket на сервере амазона сам.
3. Сделать возможным в ручную прописывать путь, куда складывать на сервере бэкапы (что бы не обязательно было заводить новый bucket под каждый сайт), что даст возможность более гибко настраивать структуру хранения данных на самом сервере, политику безопасного доступа и избавит от подмены ключей на этапе заведения хранилищ в адмике битрикса.
Сабж
Реализуйте пожалуйста нормальную защиту форм. Нынешняя капча портит коверсию достаточно серьезно, наблюдаю вебвизор, и бедных людей, которые пытаются отправить заявку или заказать обратный звонок. При упрощении каптчи, хрумер и алсаб пробивают ее, даже не почувствовав ,при усложнении - люди не могут отправить сообщение из формы.
Руковожу сайтами крупной организации с хороши трафиком. Нынешняя "защита" от спама не защищает сайт, а приносит сотни тысяч убытков ежемесячно.
Руковожу сайтами крупной организации с хороши трафиком. Нынешняя "защита" от спама не защищает сайт, а приносит сотни тысяч убытков ежемесячно.
Волшебная фраза отмазка.
Когда контроль целостности упирается в определённый лимит найденных изменений, то сканирование просто прекращается (специально уточнял это в ТП, тикет #451224). Т.е. злоумышленник может всегда замаскировать свои изменения горой псевдо-легитимных правок (поправив даты ВСЕМ файлам на сервере).
Нужна возможность:
Когда контроль целостности упирается в определённый лимит найденных изменений, то сканирование просто прекращается (специально уточнял это в ТП, тикет #451224). Т.е. злоумышленник может всегда замаскировать свои изменения горой псевдо-легитимных правок (поправив даты ВСЕМ файлам на сервере).
Нужна возможность:
- Увеличить лимит в настройках модуля
- Вручную продолжить сканирование
Модуль проактивная защита умеет почти все, кроме самого главного:
- Есть правила блокировки по IP
- Есть журнал событий
- Есть непонятный флажок "Добавить IP-адрес атакующего в стоп-лист"
Как работает этот флажок? Анализирует SQL запрос? Разъясните в документации.
У меня банальная проблема:
в журнале событий много записей, что кто-то пытается зайти под пользователем admin, но не может. (Потому что я предусмотрительный, и пользователя admin на сайте нет.)
Злые боты совершают десятки тысяч обращений к серверу и замедляют его работу. Страдают другие сайты.
Хочу опции: блокировать на 60 минут за 40 ошибок входа с одного IP за 20 минут. И чтобы письмо администратору отправлялось при блокировке.
На редакции Стандарт нет Веб-аналитики. Следует научить Проактивную защиту проверять журнал событий.
P.S.
про опцию "Количество попыток ввода пароля до показа CAPTCHA" знаю. Но она почему-то не работает, если пользователя, под которым пытаются авторизоваться, нет.
- Есть правила блокировки по IP
- Есть журнал событий
- Есть непонятный флажок "Добавить IP-адрес атакующего в стоп-лист"
Как работает этот флажок? Анализирует SQL запрос? Разъясните в документации.
У меня банальная проблема:
в журнале событий много записей, что кто-то пытается зайти под пользователем admin, но не может. (Потому что я предусмотрительный, и пользователя admin на сайте нет.)
Злые боты совершают десятки тысяч обращений к серверу и замедляют его работу. Страдают другие сайты.
Хочу опции: блокировать на 60 минут за 40 ошибок входа с одного IP за 20 минут. И чтобы письмо администратору отправлялось при блокировке.
На редакции Стандарт нет Веб-аналитики. Следует научить Проактивную защиту проверять журнал событий.
P.S.
про опцию "Количество попыток ввода пароля до показа CAPTCHA" знаю. Но она почему-то не работает, если пользователя, под которым пытаются авторизоваться, нет.
Создать API включения\отключения капчи в веб-формах,
Для того чтобы можно было автоматизированно вкл\выключать капчу, а не перекликивать все формы по одной
Для того чтобы можно было автоматизированно вкл\выключать капчу, а не перекликивать все формы по одной
Сейчас когда вы создаёте отчёт, то получаете ссылку вида , но эта ссылка работает только пока длится ваша сессия во время которой вы создали дамп. Стоит перелогиниться (или зайти из другого браузера и всё, файл больше не скачать!)
А иногда его хочется скачать и через день и через неделю, ведь он всё равно хранится.
Нужен инструмент не только делающий контроль целостности, но и позволяющий скачать эти дампы (по пароль контроля целостности) в любое время после.
А иногда его хочется скачать и через день и через неделю, ведь он всё равно хранится.
Нужен инструмент не только делающий контроль целостности, но и позволяющий скачать эти дампы (по пароль контроля целостности) в любое время после.
Если IP адрес попал в стоп лист, то давать возможность вводить код Captcha, для снятия блокировки.
Добавьте, пожалуйста, возможность 2х этапной авторизации через Google Authenticator, а не через отдельное приложение Bitrix OTP. Это очень удобно! И не будет надобности ставить второе приложение.
Сейчас ограничение по IP возможно задать только для АДМИНИСТРАТИВНОГО раздела /bitrix/admin/, однако если в публичной части есть форма авторизации, то злоумышленник может получить доступ там.
+ такое ограничение не удобно тем, что иногда нужно дать доступ для сотрудников с минимальным уровнем доступа (например контент-менеджеры, корреспонденты) из разных точек без статического IP, в том время как сотрудникам с полными правами (администраторы, разработчики) необходимо ограничить доступ только из корпоративной сети.
Проблему решила бы возможность добавить ограничение доступа по IP для каждой группы пользователей и действующее не только в админке, но и в публичке.
+ такое ограничение не удобно тем, что иногда нужно дать доступ для сотрудников с минимальным уровнем доступа (например контент-менеджеры, корреспонденты) из разных точек без статического IP, в том время как сотрудникам с полными правами (администраторы, разработчики) необходимо ограничить доступ только из корпоративной сети.
Проблему решила бы возможность добавить ограничение доступа по IP для каждой группы пользователей и действующее не только в админке, но и в публичке.
© 2001-2023 «Битрикс», «1С-Битрикс». Работает на 1С-Битрикс: Управление сайтом.
Соглашение об использовании сайта
Соглашение об использовании сайта
Для подключения, существует компонент security.user.otp.init
Административный интерфейс, увы, пока не приспособлен для подключения этих приложений, но это будет исправлено в ближайших обновлениях.